标准、扩展、名称访问控制列表格配置.docVIP

标准、扩展、名称访问控制列表格配置.doc

  1. 1、本文档共10页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
标准、扩展、名称访问控制列表格配置

标准、扩展、名称访问控制列表配置 2008-09-06 16:45:41| 分类: 网络试验 | 标签:acl 访问控制列表 |字号大中小 订阅 试验目的:熟悉标准访问控制列表的应用。 试验设备:r1、r2、r3、sw1、sw2、vpcs。 说明:在全网均能连通的情况下完成试验,注意:标准访问控制列表放置原则是,尽可能离目标地址近。 试验内容: 由于基本访问控制列表的放置原则,所以我们知道应该在r3上设置ACL,并且将其放置在r3的e1/0接口上。 1、只允许网络的主机访问PC6。 命令如下: r3(config)#access-list 1 permit 55 /定义一个ACL名字为1,只允许的网络内的主机信息通过,注意:这里的通配符掩码中0表示必须符合,1表示可以不同,所以55(1111111)就表示192.168.1这三位必须相同,而第四位可以任意。 r3(config)#int e1/0 /进入端口E1/0 r3(config-if)#ip access-group 1 out /将ACL 1应用在该接口上,控制出站数据流。 这时可以试验,从不同的网络PING PC6的IP地址,并且还可以PING R3的E1/0地址,除了网络的信息外,都只能到达00而终止。 2、只允许PC1:访问PC6。 首先执行r3(config)#no access-list 1 删除掉刚才建立的内容以便后续试验。 r3(config)#access-list 1 permit host /只允许主机的数据通过,host 效果等同于 这时就只有pc1能ping通pc6了,请读者在pc1和pc3上ping pc6。 3、只拒绝网络的主机访问PC6。 r3(config)#no access-list 1 /删除前面建立的列表 r3(config)#access-list 1 deny 55 /只拒绝网络的数据 r3(config)#access-list 1 permit any /允许通过所有数据,any表示所有网络,因为所有的ACL末尾都有条隐藏deny any(拒绝所有)的语句,所以在这条语句之前必须加一条允许所有的语句来让所有其他的网络的数据通过。 请读者自行测试。 4、只拒绝PC2:主机访问PC6。 r3(config)#no access-list 1 r3(config)#access-list 1 deny host r3(config)#access-list 1 permit any 请读者自信测试。 注意:因为在第一步的试验的时候已经将ACL1应用到E1/0接口,并且后续试验中依然有效,所以后续的试验中就没有再次使用ip access-group 1 out命令了。 ***************************************************************************************************************** 扩展访问列表。 其实扩展访问列表相对于标准访问列表的不同就在于,它可以更加细化的控制访问,与标准访问列表不同,扩展访问列表需要放在距离控制源尽可能近的地方,因为这个原则所以以上的标准访问控制列表的试验中,在用扩展访问控制列表做的时候就因该放在R1的F2/0.10和F2/0.20口上,做入站数据流的控制。 比如: 1、只允许网络的主机访问PC6的FTP服务。 r1(config)#access-list 101 permit tcp 55 host eq 21 /扩展列表101只允许从网络到的tcp数据通过,端口为21(这是FTP服务的段口之一21、20) r1(config)#access-list 101 permit tcp 55 host eq 20 r1(config)#int f2/0.10 /进入端口f2/0.10 r1(config-if)#ip access-group 101 in /将ACL 101应用在该接口上,控制入站数据流。 其他的以此类推,另外还有名称访问控制列表也只是可以用非数字的字符来定义列表名称比如将101替换为NOTCP之类的字符,还可以用no的形式删除一条访问列表再加入,不过加入的新条目将会放在最末端,这一点需要特别注意,其他的与扩展访问控制列表没有太大区别。

您可能关注的文档

文档评论(0)

jixujianchi + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档